İşletmenizde saklanan, iletilen veya başka şekilde işlenen kişisel verilerin kazara veya yasadışı
yollarla ele geçirilmesine, imhasına, kaybına, değiştirilmesine ya da ifşa edilmesine yol açan
güvenlik ihlalleri ile karşılaşabilirsiniz. Kişisel veri ihlali olduğunda yapılması gerekenleri bilmek
önemli.
Veri İhlali Olduğunu Saptamak ve Derhal Teknik Müdahaleleri Yapmak
Her türlü önlemleri almış olsanız da hayat bu, asla asla dememeli. Bir ihlal planınız olmalı. Tanımın
geniş olmasından da anlaşılabileceği gibi, kişisel veri ihlalleri pek çok şekilde olabilir. Yaygın
örnekler; siber saldırıya uğramak, yanlışlıkla gönderilen e-postalar, CV'leri çok uzun süre saklamak,
kaybolan bir cep telefonu ya da laptop, kişisel veri ifşa eden bir reklam, bildirim almak istediğini
belirtmeyen müşteriye bildirim gönderilmesi...
Hangi verilerin ihlal edilmiş olabileceğini nasıl saptayacaksınız?
İhlal yöntemini anlayarak ve veri envanterinizi inceleyerek.
Planınız ilk önce ihlal edildiğini saptadığınız verilere yönelik teknik müdahaleleri içermeli. Örneğin
bir siber saldırı durumunda ya da bir cep telefonu veya laptop kaybı saneryosu için, IT sorumlunuz
mümkünse cihazı uzaktan devredışı bırakabilmeli, ya da veriler zaten parola korumalı erişim ile
korunuyor olmalı. İlgili ise, bankalara haber verilmeli.
Kişisel Veri İhlalinin Sonuçlarını Öngörmek: Risk Analizi
Esasen veri ihlalinin olası sonuçlarına dair risk analizleri; teknik, idari ve hukuki tedbirler
kapsamında zaten KVKK uyum sürecinde ihlal gerçekleşmeden önce düzenli olarak yapıla geliyor
olmalıdır. Eğer önceden yapılmış risk analizleri varsa olası sonuçları saptamak daha kolay olacaktır.
Küçük işletmeler, tek ya da birkaç ortaklı çalışan muayenehaneler, sıkça veri ihlali konusunda
saldırılara ya da kazalara hedef olmak için fazla “küçük” olduklarını düşünürler. Oysa küçük
işletme, daha kolay hedeftir. İhlalin sonuçlarına karşı daha savunmasız, daha amatör olabilir.
İhlalin kısa vadede sonuçları genelde müşteri şikayetleri, ihlal sebepli başvuran ilgili kişilere cevap
verilmesi, işlerin aksaması, kusuru sabit bir şekilde delillendirilen çalışanların iş sözleşmelerinin
feshedilmesi ve yeni çalışan istihdamı, veri geri dönüşümü için yapılan harcamalar gibidir.
Uzun vadede sonuçlar ise; dolandırılmak, adli soruşturmalar, açılan davalar ve yüksek idari para
cezaları ve bunların sonucunda sektörde güven ve itibar zedelenmesi ile müşteri ve iş ortağı kaybı
gibi ciddi sorunlar olabiliyor.
İhlal, İlgililere ve Kurula Bildirilmeli
Teknik müdahaleden sonra hukuki gereklilikler var sırada. Kanunun 12/5.maddesine göre; veri
sorumlusu, durumu, alınan önlemleri ve ihlalin olası sonuçlarını da açıklayarak hem ilgilisine hem
de Kişisel Verileri Koruma Kurulu'na bildirmek zorundadır. Kanunumuzda hangi veri ihlallerinin
bildirileceğine dair bir ayrım yok, o yüzden her ihlalin bildirilmesi gerektiği yorumu yapılabilir.
Ancak başka bir yaklaşıma göre AB'deki kişisel verileri koruma düzenlemesi olan GDPR'da bir veri
ihlalinin temel hak ve özgürlükler bakımından risk yaratması halinde ICO'ya (KVKK'mızı
karşılayan kurum), yüksek bir risk yaratması halinde ise ilgili kişiye bildirilmesi gerekli görülmüş
olduğundan, GDPR da bizim kanunumuzun kaynağını aldığı düzenleme olduğundan, bizde de böyle
bir ayrıma gidilebilir.
Burada şunu düşünmek lazım, uygulamada çok küçük, hatta işletme içinde örneğin departmanlar
arasında gerçekleşmiş ve kolay birkaç müdahale ile düzeltilebilecek bir veri ihlalini ilgili kişi olarak
bir müşteriye bildirmek ne kadar doğru olur? Böylesine riski çok düşük bir ihlali bildirmek tabiri
caizse durgun suyu bulandırmak olabilir, sektörde ticari itibarı sarsabilir ve müşteri kaybına
sebebiyet verebilir. Bu anlamda genel bir tavsiye vermek doğru olmaz, ancak işletme yönetimi ve
hukukçular ile durum çok iyi incelenmeli, genel anlamda ihlali bildirme eğiliminde olunmalı ancak
neticeden somut olaya göre değerlendirme yapılmalıdır. Ceza korkusuyla ihlalleri gizleyen
işletmeler bakımından, ihlalin daha sonra bir şekilde saptanması ve incelemeye alınması durumunda
Kurum hem ihlali hem de gizlemeyi göz önünde bulundurarak cezayı üst hadden belirlemektedir.
Kurul kararlarına göre veri ihlal bildirimlerinin, veri sorumlusunun ihlali öğrendiği tarihten itibaren
en geç 72 saat içinde Kurula, makul olan en kısa süre içerisinde de verisi ihlal edilen ilgili kişilere
yapılması gereklidir. Kurula yapılacak bildirimler, Kurulun sitesinde de yer alan kişisel veri ihlali
bildirim formu kullanılarak site üzerinden online, e-mail ile ya da iadeli taahhütlü posta yolu ile
yapılabilir. İlgili kişilere de KEP, e-mail ya da iadeli taahhütlü posta yoluyla yapılabileceği gibi,
eğer ilgili gerçek kişilerin irtibat bilgilerine ulaşılamıyorsa veri sorumlusu olan işletmenizin kendi
internet sitesi üzerinden ihlale dair duyuru yapılabilir.
Kanunun 18/1-b maddesi uyarınca, ihlalleri bildirmemek de dahil 12. maddede öngörülen
yükümlülükleri yerine getirmeyenler hakkında idari para cezası uygulanır. 2021 yılı için miktarlar
yaklaşık 30 bin TL ile 2 milyon TL arasında değişmektedir. Bunun haricinde kişilik haklarının ihlal
edildiğini iddia eden kişilerin genel hükümlere göre tazminat isteme hakları da vardır.
İhlaller kesin olarak önlenemez. Ama kriz planımızı önceden yaparsak en az hasarla durumu
kurtarırız..
Av. Aylin Beliz Yıldırım / [email protected]
Yorum yazarak Haber Hürriyeti Topluluk Kuralları’nı kabul etmiş bulunuyor ve yorumunuzla ilgili doğrudan veya dolaylı tüm sorumluluğu tek başınıza üstleniyorsunuz. Yazılan yorumlardan Haber Hürriyeti hiçbir şekilde sorumlu tutulamaz.
Haber ajansları tarafından servis edilen tüm haberler Haber Hürriyeti editörlerinin hiçbir editöryel müdahalesi olmadan, ajans kanallarından geldiği şekliyle yayınlanmaktadır. Sitemize ajanslar üzerinden aktarılan haberlerin hukuki muhatabı Haber Hürriyeti değil haberi geçen ajanstır.
Şimdi oturum açın, her yorumda isim ve e.posta yazma zahmetinden kurtulun. Oturum açmak için bir hesabınız yoksa, oluşturmak için buraya tıklayın.
Yorum yazarak Haber Hürriyeti Topluluk Kuralları’nı kabul etmiş bulunuyor ve yorumunuzla ilgili doğrudan veya dolaylı tüm sorumluluğu tek başınıza üstleniyorsunuz. Yazılan yorumlardan Haber Hürriyeti hiçbir şekilde sorumlu tutulamaz.
Haber ajansları tarafından servis edilen tüm haberler Haber Hürriyeti editörlerinin hiçbir editöryel müdahalesi olmadan, ajans kanallarından geldiği şekliyle yayınlanmaktadır. Sitemize ajanslar üzerinden aktarılan haberlerin hukuki muhatabı Haber Hürriyeti değil haberi geçen ajanstır.